Scoperta una nuova campagna di malware su GitHub
I ricercatori di cybersecurity hanno individuato una nuova campagna in cui gli attori delle minacce hanno pubblicato oltre 67 repository su GitHub che affermano di offrire strumenti di hacking basati su Python, ma che in realtà distribuiscono payload trojanizzati. Questa attività, denominata Banana Squad da ReversingLabs, è considerata una continuazione di una campagna Python fraudolenta identificata nel 2023, che prendeva di mira il repository Python Package Index (PyPI) con pacchetti falsi scaricati oltre 75.000 volte, dotati di capacità di furto di informazioni su sistemi Windows.
Un’analisi più approfondita del repository e dell’infrastruttura controllata dagli attaccanti ha portato alla scoperta di 67 repository trojanizzati su GitHub che imitano repository legittimi con lo stesso nome. Ci sono prove che suggeriscono che gli utenti alla ricerca di software come strumenti di pulizia account e cheat per giochi, come Discord account cleaner, Fortnite External Cheat, TikTok username checker e PayPal bulk account checker, siano i bersagli della campagna. Tutti i repository identificati sono stati successivamente rimossi da GitHub.
GitHub come vettore di distribuzione di malware
Lo sviluppo arriva mentre GitHub sta diventando sempre più il fulcro di diverse campagne come vettore di distribuzione di malware. Recentemente, Trend Micro ha scoperto 76 repository GitHub malevoli gestiti da un attore di minacce chiamato Water Curse per distribuire malware a più stadi. Questi payload sono progettati per sottrarre credenziali, dati del browser e token di sessione, oltre a fornire agli attori delle minacce un accesso remoto persistente ai sistemi compromessi.
Inoltre, Check Point ha fatto luce su un’altra campagna che utilizza un servizio criminale noto come Stargazers Ghost Network per prendere di mira gli utenti di Minecraft con malware basato su Java. Lo Stargazers Ghost Network si riferisce a una raccolta di account GitHub che propagano malware o link malevoli tramite repository di phishing. “La rete è composta da più account che distribuiscono link malevoli e malware e svolgono altre azioni come stellare, forcare e iscriversi a repository malevoli per farli apparire legittimi”, ha affermato Check Point.
Attacchi alla catena di fornitura del software
“I backdoor e il codice trojanizzato nei repository di codice sorgente pubblicamente disponibili come GitHub stanno diventando sempre più diffusi e rappresentano un vettore di attacco in crescita per la catena di fornitura del software”, ha dichiarato Robert Simmons, ricercatore di ReversingLabs. “Per gli sviluppatori che si affidano a queste piattaforme open-source, è essenziale controllare sempre che il repository che si sta utilizzando contenga effettivamente ciò che ci si aspetta”.
Fonte: The Hackers News
